問題タブ [vpn]

1つのIP/ポートに配置してLablzWebサーバーとSSLVPNAdito（SSL Explorerフォーク）の両方を前面に出すには、リバースプロキシが必要です。Nginxでそれを達成できませんでした。Aditoを汎用リバースHTTPプロキシとして使用できませんでした。

HAProxyは、HTTPトラフィックを検知しない場合、TCPプロキシにフォールバックできますか？言い換えると、レイヤー7の検査でこれがHTTPトラフィックではないと判断された場合、レイヤー4にフォールバックできますか？

これが私の設定です

• 1つのパブリックIP（Elastic IP）を備えたEC2マシン。
• 開いているポートは1つだけです-443。
• Stunnelは443上にあり、トラフィックをHAProxyに渡します（Stunnelを使用するのは好きではありませんが、Nginxとは異なり、HAProxyはまだSSLを完全にサポートしていません）。
• HAProxyは、一部のHTTPトラフィックを1つのサーバー（SVNサーバーの前にあるApacheサーバー）に渡し、残りのHTTPトラフィックをLablz Web/Appサーバーに渡すように構成する必要があります。
• HTTP以外のすべてのトラフィックは、AditoVPNに転送する必要があります。
  • このトラフィックは次のとおりです。
    • VNC、NX、SMB
    • ...およびAditoがサポートする他のすべてのプロトコル

トラフィックをHTTPと非HTTPに分割するために送信元IPアドレスまたはポートに依存することはできません。

それで、そのような設定はHAProxyで実行できますか？これに他のリバースプロキシを使用できますか？私がHAProxyについて正しく考えておらず、別のアプローチが可能かどうかを教えてください。

ところで、Adito SSL VPNは素晴らしく、このセットアップが機能すれば、Lablz開発者にクラウド内のボックスへの素晴らしいワンクリックシングルログインの安全なVNC-over-HTTPSアクセスを提供できるようになります。

これに対する解決策はありませんが、Aditoを介して-私が間違っていることを証明してください。ただし、VNCoverSSHの方が優れているとは言わないでください。はい、VNC-over-SSHはより高速で安全ですが、（ターゲットユーザーベースにとって）セットアップがはるかに難しく、ユーザーがポート22でのアウトバウンドトラフィックを許可するファイアウォールの背後にいると想定します（常にそうであるとは限りません）。

その上、Aditoはリモートアクセスゲートウェイをはるかに超えています-それは本格的なブラウザ内VPN、ソフトウェアディストリビューションプラットフォームなどです。私はAditoの人とは関係がありません-Lablzブログの私のAditoの投稿を参照してください。

WMI を使用して VPN 接続の IP アドレスを抽出するために、すべてのネットワーク接続を列挙するにはどうすればよいですか? XP では Win32_NetworkAdapterConfiguration は正常に動作しますが、Vista では物理接続のみを列挙しているように見えます...

Windows VPN クライアント経由で接続するコードを作成するにはどうすればよいですか?

ログオン中にこのプロセスを目に見えないようにしたい。

ASP.NETWebアプリケーションでエンタープライズライブラリの例外処理ブロックを使用しています。私は昨日仕事でこのアプリを使用していました（非VPN）、そしてすべてがうまくいきました。私は今日家で働いています、そして私がアプリに認証されたフォームを持っているとすぐに、私はこのエラーを受け取ります：

exceptionHandlingの構成セクションハンドラーの作成中にエラーが発生しました：ファイルまたはアセンブリ'Microsoft.Practices.EnterpriseLibrary.ExceptionHandling、Version = 4.1.0.0、Culture = neutral、PublicKeyToken=31bf3856ad364e35'またはその依存関係の1つを読み込めませんでした。見つかったアセンブリのマニフェスト定義がアセンブリ参照と一致しません。（HRESULTからの例外：0x80131040）（C：\ Projects \ ThesaurusSME \ ThesaurusSME \ web.config行5）

このエラーは、c：\ EntLib41Src \ Blocks \ Common \ Src \ Configuration \ SystemConfigurationSourceImplementation.csで、次のメソッドで発生します。

binフォルダー内のすべてのファイルを確認しましたが、すべて4.1.0.0です。

これらのセクションを参照するweb.configの他のすべてのセクションにも、4.1.0.0が表示されています。

それが役立つ場合、InnerException/FusionLogは次のように述べています。

/Users/heckacr1/AppData/Local/Temp/Temporary ASP.NET Files / root / ac718580 / 56b7f71/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。ログ：新しいURLファイルのダウンロードを試みています：/// C：/Users/heckacr1/AppData/Local/Temp/Temporary ASP.NET Files / root / ac718580 / 56b7f71 / Microsoft.Practices.EnterpriseLibrary.ExceptionHandling / Microsoft.Practices.EnterpriseLibrary .ExceptionHandling.DLL。ログ：新しいURLファイルのダウンロードを試みています：/// C：/Projects/ThesaurusSME/ThesaurusSME/bin/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。EnterpriseLibrary.ExceptionHandling/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。ログ：新しいURLファイルのダウンロードを試みています：/// C：/Projects/ThesaurusSME/ThesaurusSME/bin/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。EnterpriseLibrary.ExceptionHandling/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。ログ：新しいURLファイルのダウンロードを試みています：/// C：/Projects/ThesaurusSME/ThesaurusSME/bin/Microsoft.Practices.EnterpriseLibrary.ExceptionHandling.DLL。 WRN：アセンブリ名を比較すると、不一致が発生しました：公開鍵トークンエラー：アセンブリのセットアップを完了できませんでした（hr = 0x80131040）。プローブが終了しました。「」

有線イントラネットから離れてVPNを使用している場合にのみ、これが発生するのはなぜですか？

Cisco VPN 内に存在する特定のサーバーとのソケットを確立するためのソフトウェアを作成する必要がある場合があります。VPN がないかのように (標準のソケット ライブラリを使用して) ソフトウェアを作成するだけです。このプログラムを実行するときは、コンピューターにインストールされているクライアント ソフトウェアを使用して手動で VPN に接続し、プログラム自体を実行します。

ただし、インストールされたクライアント ソフトウェアを使用せずに、VPN を介して直接通信できる特殊なソケット ライブラリを利用するようにソフトウェアを作成することが望ましいでしょう。

私が望む機能を示すJavaコードは次のとおりです。

クライアント ソフトウェアをインストールせずに VPN への接続を確立することは可能ですか?

免責事項：私は自分がやりたいことをするためにグーグルを試しましたが、運がありません。ここで誰かが手を貸してくれることを願っています。

バックグラウンド

WSE 2.0 ライブラリを使用して安全な Web サービスにアクセスする .NET クラス ライブラリがあります。Web サービスは、中央データベース (実際には、複数の顧客にまたがるデータ共有ネットワークの一部です) へのフロントエンドを提供し、クラス ライブラリは、Web サービス呼び出しの周りに単純なラッパーを提供して、レガシー VB6 アプリケーションからアクセスできるようにします。レガシ アプリケーションは、クラス ライブラリを使用して情報を取得し、Web サービスに公開します。現在、アプリケーションとクラス ライブラリ DLL は両方とも、複数のワークステーションにクライアント側でインストールされています。

問題

問題は、アクセスしている Web サービスが HTTPS を使用しており、アクセスするには有効な X509 クライアント証明書を Web サービスに提示する必要があることです。すべてのコンポーネントがクライアント マシン上にあるため、展開の問題が発生しました。たとえば、各クライアント マシンにユーザーごとの証明書をダウンロードしてインストールする必要があります。これは、アプリケーションを通じて Web サービスにアクセスする必要があるユーザーごとに 1 つずつです。さらに、Web サーバー自体は VPN (特に OpenVPN) 経由でアクセスする必要があります。つまり、すべてのクライアント マシンに VPN クライアントをインストールして構成する必要があります。これは大きな苦痛です (一部のお客様は数十台のワークステーションを持っています)。

提案されたソリューション

提案されたソリューションは、このすべてのロジックを顧客サイトの中央サーバーに移動することです。このシナリオでは、レガシー アプリケーションはローカル サーバーと通信し、ローカル サーバーはオフになり、要求を実際の Web サービスに転送します。さらに、展開を簡素化および集中化する取り組みの一環として、すべての X509 証明書は、個々のクライアント コンピューターではなく、サーバーにインストールされます。

これまでのところ、次の 3 つのオプションを考え出しました。

• Host着信 HTTP ベースの SOAP 要求を受け取り、SOAP メッセージのヘッダーとルーティング関連の部分を変更して (実際の Web サーバーを指すように)、実際の Web への SSL 接続を開くことができる既製の SOAP プロキシ サーバーを見つけます。(ユーザー名から証明書へのマッピングに基づいて) 正しいクライアント証明書をサーバーに提示し、変更された要求を転送し、応答を読み取り、プレーンテキストに変換して、クライアントに送り返します。
• 今述べたすべてを実行するプロキシ サーバーを手動で作成します。
• この問題を解決するための完全に異なる、できればより良い方法を考えてください。

根拠

SOAP プロキシ サーバーを検索および/または作成しようとする理由は、既存の .NET ラッパー ライブラリを変更する必要がまったくないからです。HTTPS の代わりにプレーンな HTTP 接続を使用して、実際の Web サービス エンドポイントではなくプロキシ サーバーを指すだけです。プロキシ サーバーはリクエストを処理し、実際の Web サービスがそれを受け入れるように変更し (つまりSOAPAction、正しいヘッダーに変更するなど)、SSL/証明書ハンドシェイクを処理し、生の応答データをサーバーに送り返します。クライアント。

ただし、これはせいぜい私にとってひどいハックのように思えます。それで、ここで私たちの選択肢は何ですか？

• このすべてを行うために、弾丸をかじって独自の HTTP/SSL/SOAP/X509 対応プロキシ サーバーを作成する必要がありますか?
• または...私が望むことを簡単に実行できる、十分に拡張可能なAPIを備えた既製のソリューションはありますか
• それとも…まったく別のアプローチをとるべきですか？

私たちが解決しようとしている主な問題は、(a) 証明書の保存場所を一元化して証明書のインストールと管理を簡素化すること、(b) Web サーバーへの VPN 接続が単一のマシンからのみ行われるように設定することです。すべてのクライアントに VPN クライアント ソフトウェアがインストールされている必要があります。

Web サービスをホストしている Web サーバーを制御していないことに注意してください。

編集：明確にするために、要件を満たすC＃で（かなりくだらない）プロキシサーバーをすでに実装していますが、この問題へのアプローチ全体について何か根本的に間違っていると感じています。したがって、最終的には、自分が正しい道を進んでいるという安心感、またはこれについて完全に間違った方法で行っていることを伝える有益なアドバイス、およびより良い方法で行うためのヒント (もしあれば、あると思います）。

ホスト OS - Win 7 x64 として実行し、Virtual PC XP のインスタンスを実行しています。Guest XP VPC OS で Cisco ISPec VPN Client を実行しており、会社の企業ネットワークに正常に接続できます。

ホスト上で Cisco IPSec クライアント ソフトウェアを実行できません。これは 64 ビットであるためです。また、Cisco は IPSec クライアント製品で 64 ビットをサポートしておらず、Cisco の製品に移行するという点では、現時点では多くの選択肢がありません。 SSL VPN クライアント (AnyConnect)。

XP VPC ゲスト OS は、NAT ネットワーク アダプターを使用していませんが、マシンの物理アダプターを使用しています。

Cisco クライアントが XP VPC ゲスト OS で実行されていない場合、ゲスト OS からホストに ping を実行できます。

いくつかの問題:

1. Cisco クライアントが実行され、接続されている場合、ゲスト OS はホストを認識できなくなります。

2. XP VPC ゲストが VPN に接続されているときに、ホストから VPN にアクセスできるようにしたいと考えています。

＃2については、説明されている少なくとも1つの手法を試しました： xenomorph.net/use-cisco-vpn-under-vista-x64/

この手法は、Cisco 疑似ネットワーク アダプタで ICS をオンにします。

これを機能させることができませんでした。ただし、指示に従わなかった可能性があります。

私も見ました：http://www.pringle.net.nz/blog/PermaLink,guid,12ee0de7-f998-4084-8b06-537b3dbd5d9a.aspx

... これには、ループバック アダプターの使用と、ホストとゲスト OS 間のブリッジングが含まれます。指示が完全に明確ではないため、私はこれに従っていません。

最後に、OpenVPN の x64 ビルドに関する参考文献をネットで見ましたが、その方向に進むのをためらっています。

何をすべきかについて、誰かが私を正しい方向に導くことができますか?

ホストされたサーバー上の Oracle に接続する Java アプレットを作成しました。VPN 経由でホスティング サービスに接続し、Oracle データベースに接続してテストしています。これを行ったので、Oracle データベースを外部接続に公開する必要はありませんが、VPN に接続しなくても Oracle に接続できるようにする必要があります。Oracle が Java アプレットからの外部接続のみを受け入れるように、セキュリティ証明書などを設定する方法はありますか?

現在、AD グループ メンバーシップを使用してユーザーを認証する必要がある Windows スマートクライアントを開発しています。

現在、一部のユーザーが VPN 経由で接続する必要があります。VPN ログインから AD アカウント ID とグループを取得する方法はありますか?

WindowsIdentity.GetCurrent() は、VPN アカウント情報ではなく、ローカル ユーザー アカウントを返します。

ローカル アカウント名は、VPN 接続に使用される AD アカウントとは異なります。つまり、ユーザーは自宅の PC を使用しており、職場の AD アカウントを使用してオフィスに接続しています。

仕事で開発しているMySQL Dbで、WorkbenchなどのMySQLソフトウェアのいくつかを試してみたいと思っています。何度も接続に失敗した後、最終的にサーバー管理者の 1 人に何か間違ったことをしていないか尋ねたところ、Db がファイアウォールの背後にあることがわかりました。サーバー側にインストールされているため、phpMyAdminを使用できますが、Excel、Workbenchなど（私のマシンから）は使用できません。

そのため、サーバーへの VPN のような接続を確立するためのかなり標準的な方法があるかどうかを知りたい. 現在、SSH クライアントを使用して問題なく接続しています。しかし、明らかにそれは私のローカルアプリをサーバーにリンクしていません。では、システム全体 (いわば) がサーバーにサインオンしていると見なされるような方法で接続を確立できますか? VPN は私ができる最も近い例えですが、それは選択肢ではありません。

と....

それはかなり「ブラック ハット」と見なされているのでしょうか、それとも私にはどうすればよいかわかりませんが、すべてのクールな子供たちは合法的にやっているのですか?

ありがとう